MÉTHODOLOGIE DE RÉFÉRENCE RELATIVE AUX TRAITEMENTS DE DONNÉES DE LA BASE PRINCIPALE DU SYSTÈME NATIONAL DES DONNÉES DE SANTÉ MIS EN ŒUVRE À DES FINS DE RECHERCHE, D'ÉTUDE OU D'ÉVALUATION DANS LE DOMAINE DE LA SANTÉ PAR LES ORGANISMES AGISSANT DANS LE CADRE DE LEURS INTÉRÊTS LÉGITIMES (MR-008)

Le règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), et notamment son article 5, point 2, prévoit que le responsable de traitement doit être en mesure de démontrer que les principes du règlement sont respectés.
L'article 9, paragraphe 4, du RGPD précise que les Etats membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques ou des données concernant la santé.
Ainsi, en application de la loi du 6 janvier 1978 modifiée (loi « informatique et libertés »), les traitements de données à caractère personnel à des fins de recherche, étude ou évaluation dans le domaine de la santé peuvent être mis en œuvre à condition que le responsable de traitement ait réalisé une déclaration de conformité à une méthodologie de référence. En l'absence de conformité à une méthodologie de référence, le traitement doit faire l'objet d'une demande d'autorisation auprès de la Commission nationale de l'informatique et des libertés (la CNIL).
La CNIL peut homologuer et publier des méthodologies de référence, au titre des référentiels mentionnés au II de l'article 66 de la loi « informatique et libertés », établies en concertation avec la plateforme des données de santé (PDS), ainsi qu'avec les organismes publics et privés représentatifs des acteurs concernés.
Parmi les traitements les plus usuels de données du Système national des données de santé (SNDS) figurent notamment ceux réalisés à la demande d'organismes privés et plus particulièrement des personnes produisant ou commercialisant des produits mentionnés au II de l'article L. 5311-1 (produits de santé), du code de la santé publique (CSP).
Ces traitements permettent notamment de préparer les dossiers de discussions avec les autorités et les comités compétents principalement dans le domaine des médicaments et des dispositifs médicaux (mise sur le marché, discussions tarifaires, marquage CE, etc.) et la réalisation d'études en conditions réelles d'utilisation.
En complément de celle relative aux traitements de données nécessitant l'accès pour le compte des personnes produisant ou commercialisant des produits mentionnés au II de l'article L. 5311-1 du CSP aux données du programme de médicalisation des systèmes d'information centralisées et mises à disposition sur la plateforme sécurisée de l'Agence technique de l'information sur l'hospitalisation, la Commission adopte une méthodologie de référence relative aux traitements de données du SNDS nécessaires aux fins des intérêts légitimes poursuivis par le responsable du traitement.
Les responsables de traitement qui adressent une déclaration de conformité à cette méthodologie de référence sont autorisés à mettre en œuvre leurs traitements, dès lors qu'ils répondent aux conditions prévues par la méthodologie et qu'ils ont notamment obtenu un avis expressément favorable du Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (CESREES).